forked from Azure/review-checklists
-
Notifications
You must be signed in to change notification settings - Fork 0
/
Copy pathacr_security_checklist.es.json
204 lines (204 loc) · 11.2 KB
/
acr_security_checklist.es.json
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
198
199
200
201
202
203
204
{
"categories": [
{
"name": "Seguridad"
}
],
"items": [
{
"category": "Seguridad",
"description": "Desactive la exportación de imágenes para evitar la exfiltración de datos. Tenga en cuenta que esto evitará la importación de imágenes a otra instancia de ACR.",
"guid": "ab91932c-9fc9-4d1b-a880-37f5e6bfcb9e",
"link": "https://learn.microsoft.com/azure/container-registry/data-loss-prevention",
"severity": "Alto",
"subcategory": "Protección de datos",
"text": "Deshabilitar la exportación de imágenes de Azure Container Registry"
},
{
"category": "Seguridad",
"description": "Habilitar la visibilidad del cumplimiento de auditoría habilitando Azure Policy for Azur eContainer Registry",
"guid": "d503547c-d447-4e82-9128-a7100f1cac6d",
"link": "https://learn.microsoft.com/azure/container-registry/container-registry-azure-policy",
"severity": "Alto",
"subcategory": "Protección de datos",
"text": "Habilitación de directivas de Azure para Azure Container Registry"
},
{
"category": "Seguridad",
"description": "Azure Key Vault (AKV) se usa para almacenar una clave de firma que se puede utilizar mediante notación con el complemento de notación AKV (azure-kv) para firmar y comprobar imágenes de contenedor y otros artefactos. Azure Container Registry (ACR) permite adjuntar estas firmas mediante los comandos az u oras CLI.",
"guid": "d345293c-7639-4637-a551-c5c04e401955",
"link": "https://learn.microsoft.com/azure/container-registry/container-registry-tutorial-sign-build-push",
"severity": "Alto",
"subcategory": "Protección de datos",
"text": "Firmar y verificar contenedores con notación (Notario v2)"
},
{
"category": "Seguridad",
"description": "Azure Container Registry cifra automáticamente las imágenes y otros artefactos que almacena. De forma predeterminada, Azure cifra automáticamente el contenido del Registro en reposo mediante claves administradas por el servicio. Mediante el uso de una clave administrada por el cliente, puede complementar el cifrado predeterminado con una capa de cifrado adicional.",
"guid": "0bd05dc2-efd5-4d76-8d41-d2500cc47b49",
"link": "https://learn.microsoft.com/azure/container-registry/tutorial-customer-managed-keys",
"severity": "Medio",
"subcategory": "Protección de datos",
"text": "Cifrar el registro con una clave administrada por el cliente"
},
{
"category": "Seguridad",
"description": "Usar identidades administradas para proteger el acceso ACRPull/Push RBAC desde aplicaciones cliente",
"guid": "8f42d78e-79dc-47b3-9bd2-a1a27e7a8e90",
"link": "https://learn.microsoft.com/azure/container-registry/container-registry-authentication-managed-identity",
"severity": "Alto",
"subcategory": "Identidad y control de acceso",
"text": "Usar identidades administradas para conectarse en lugar de entidades de servicio"
},
{
"category": "Seguridad",
"description": "La cuenta de administrador local está deshabilitada de forma predeterminada y no debe habilitarse. En su lugar, use métodos de acceso basados en token o RBAC",
"guid": "be0e38ce-e297-411b-b363-caaab79b198d",
"link": "https://learn.microsoft.com/azure/container-registry/container-registry-authentication-managed-identity",
"severity": "Alto",
"subcategory": "Identidad y control de acceso",
"text": "Deshabilitar la autenticación local para el acceso al plano de administración"
},
{
"category": "Seguridad",
"description": "Deshabilitar la cuenta de administrador y asignar roles RBAC a las entidades de seguridad para las operaciones de extracción/inserción de ACR",
"guid": "387e5ced-126c-4d13-8af5-b20c6998a646",
"link": "https://learn.microsoft.com/azure/container-registry/container-registry-roles?tabs=azure-cli",
"severity": "Alto",
"subcategory": "Identidad y control de acceso",
"text": "Asigne roles RBAC de AcrPull y AcrPush en lugar de otorgar acceso administrativo a las entidades de identidad"
},
{
"category": "Seguridad",
"description": "Deshabilitar el acceso anónimo de extracción/inserción",
"guid": "e338997e-41c7-47d7-acf6-a62a1194956d",
"link": "https://learn.microsoft.com/azure/container-registry/anonymous-pull-access#configure-anonymous-pull-access",
"severity": "Medio",
"subcategory": "Identidad y control de acceso",
"text": "Deshabilitar el acceso de extracción anónimo"
},
{
"category": "Seguridad",
"description": "La autenticación de token no admite la asignación a una entidad de seguridad de AAD. Cualquier token proporcionado puede ser utilizado por cualquier persona que pueda acceder al token.",
"guid": "698dc3a2-fd27-4b2e-8870-1a1252beedf6",
"link": "https://learn.microsoft.com/azure/container-registry/container-registry-authentication?tabs=azure-cli",
"severity": "Alto",
"subcategory": "Identidad y control de acceso",
"text": "Deshabilitar tokens de acceso con ámbito de repositorio"
},
{
"category": "Seguridad",
"description": "Implementar imágenes de contenedor en un ACR detrás de un punto de conexión privado dentro de una red de confianza",
"guid": "b3bec3d4-f343-47c1-936d-b55f27a71eee",
"severity": "Alto",
"subcategory": "Identidad y control de acceso",
"text": "Implementar imágenes desde un entorno de confianza"
},
{
"category": "Seguridad",
"description": "Solo se pueden usar tokens con una audiencia ACR para la autenticación. Se utiliza al analizar directivas de acceso condicional para ACR",
"guid": "3a041fd3-2947-498b-8288-b3c6a56ceb54",
"link": "https://learn.microsoft.com/azure/container-registry/container-registry-enable-conditional-access-policy",
"severity": "Medio",
"subcategory": "Identidad y control de acceso",
"text": "Deshabilitar tokens de audiencia de Azure ARM para la autenticación"
},
{
"category": "Seguridad",
"description": "Configure una configuración de diagnóstico para enviar 'repositoryEvents' y 'LoginEvents' a Log Analytics como destino central para el registro y la supervisión. Esto le permite supervisar la actividad del plano de control en el propio recurso ACR.",
"guid": "8a488cde-c486-42bc-9bd2-1be77f26e5e6",
"link": "https://learn.microsoft.com/azure/container-registry/monitor-service",
"severity": "Medio",
"subcategory": "Registro y supervisión",
"text": "Habilitar el registro de diagnósticos"
},
{
"category": "Seguridad",
"description": "El servicio admite la deshabilitación del acceso a la red pública mediante el uso de la regla de filtrado de ACL de IP de nivel de servicio (no NSG o Azure Firewall) o mediante un conmutador de alternancia \"Deshabilitar acceso a redes públicas\"",
"guid": "21d41d25-00b7-407a-b9ea-b40fd3290798",
"link": "https://learn.microsoft.com/azure/container-registry/container-registry-private-link",
"severity": "Medio",
"subcategory": "Seguridad de red",
"text": "Controle el acceso a la red entrante con Private Link"
},
{
"category": "Seguridad",
"description": "Deshabilitar el acceso a la red pública si el acceso a la red entrante está protegido mediante Private Link",
"guid": "cd289ced-6b17-4db8-8554-62f2aee4553a",
"link": "https://learn.microsoft.com/azure/container-registry/container-registry-access-selected-networks#disable-public-network-access",
"severity": "Medio",
"subcategory": "Seguridad de red",
"text": "Deshabilitar el acceso a la red pública"
},
{
"category": "Seguridad",
"description": "Solo la SKU Premium de ACR admite el acceso a Private Link",
"guid": "fc833934-8b26-42d6-ac5f-512925498f6d",
"link": "https://learn.microsoft.com/azure/container-registry/container-registry-skus",
"severity": "Medio",
"subcategory": "Seguridad de red",
"text": "Use una SKU de Azure Container Registry que admita Private Link (SKU Premium)"
},
{
"category": "Seguridad",
"description": "Azure Defender para contenedores o el servicio equivalente se debe usar para examinar imágenes de contenedor en busca de vulnerabilidades",
"guid": "bad37dac-43bc-46ce-8d7a-a9b24604489a",
"link": "https://learn.microsoft.com/azure/defender-for-cloud/defender-for-containers-introduction",
"severity": "Bajo",
"subcategory": "Seguridad de red",
"text": "Habilitar Defender for Containers para examinar Azure Container Registry en busca de vulnerabilidades"
},
{
"category": "Seguridad",
"description": "Implemente código de confianza validado y analizado en busca de vulnerabilidades de acuerdo con las prácticas de DevSecOps.",
"guid": "4451e1a2-d345-4293-a763-9637a551c5c0",
"severity": "Medio",
"subcategory": "Gestión de vulnerabilidades",
"text": "Implementar imágenes de contenedor validadas"
},
{
"category": "Seguridad",
"description": "Utilice las últimas versiones de plataformas, lenguajes de programación, protocolos y marcos compatibles.",
"guid": "4e401955-387e-45ce-b126-cd132af5b20c",
"severity": "Alto",
"subcategory": "Gestión de vulnerabilidades",
"text": "Utilice plataformas, lenguajes, protocolos y marcos actualizados"
}
],
"metadata": {
"name": "Azure Container Registry Security Review"
},
"severities": [
{
"name": "Alto"
},
{
"name": "Medio"
},
{
"name": "Bajo"
}
],
"status": [
{
"description": "Esta comprobación aún no se ha examinado",
"name": "No verificado"
},
{
"description": "Hay un elemento de acción asociado a esta comprobación",
"name": "Abrir"
},
{
"description": "Esta comprobación se ha comprobado y no hay más elementos de acción asociados a ella",
"name": "Cumplido"
},
{
"description": "No aplicable para el diseño actual",
"name": "N/A"
},
{
"description": "No es necesario",
"name": "No es necesario"
}
]
}